Spis treści
Transkrypt
Spis treści
Księgarnia PWN: Florian Rommel - Active Directory – odtwarzanie po awarii Spis treści O autorze ..................................................................................................................................... 9 O recenzentach.......................................................................................................................... 11 Wstęp ......................................................................................................................................... 13 Zawartość książki............................................................................................................... 14 Dlaczego ta książka jest potrzebna .................................................................................... 14 Konwencje.......................................................................................................................... 15 Rozdział 1. Odtwarzanie usługi Active Directory po awarii – przegląd.............................. 17 Czym jest odtwarzanie po awarii? ..................................................................................... 18 Dlaczego potrzebne jest odtwarzanie po awarii (DR – Disaster Recovery) ...................... 20 Skróty stosowane w tej książce.......................................................................................... 22 Odtwarzanie usługi katalogowej Active Directory po awarii ............................................ 23 Rodzaje awarii i scenariusze omówione w tej książce...................................................... 24 Odtwarzanie skasowanych obiektów......................................................................... 24 Awaria sprzętowa jednego kontrolera DC................................................................. 25 Uszkodzenie usługi AD na jednym kontrolerze DC.................................................. 26 Uszkodzenie usługi AD w jednej lokacji .................................................................. 27 Uszkodzenie AD w całej korporacji – pełne uszkodzenie......................................... 27 Uszkodzenie sprzętowe w całej lokacji ..................................................................... 27 Awaria sprzętu w całej korporacji ............................................................................. 28 Podsumowanie ................................................................................................................... 29 Rozdział 2. Zasady projektowania usługi Active Directory.................................................. 31 Elementy usługi AD........................................................................................................... 32 Las usługi AD............................................................................................................ 32 Drzewo usługi AD ..................................................................................................... 33 Jednostki OU i obiekty−liście .................................................................................... 33 Lokacje w Active Directory ...................................................................................... 34 Obiekty GPO (Group Policy Objects – obiekty zasad grupy)................................... 36 Projekt domen: pojedynczy las, pojedyncza domena, sieć o topologii gwiazdy ............... 37 Projekt domen: pojedynczy las, pojedyncza domena, pusta domena podstawowa (root), sieć o topologii gwiazdy ......................................................................................... 38 Projekt domen: las z wieloma domenami .......................................................................... 40 Projekt domen: wiele lasów ............................................................................................... 40 Lokacja opóźnienia (lokacja LRS – Lag Replication Site)................................................ 41 Projektowanie własnej usługi Active Directory................................................................. 43 Standardy nazw.......................................................................................................... 45 Przydzielanie nazw użytkowników i kont usług............................................... 45 4 Active Directory – odtwarzanie po awarii Nazewnictwo obiektów GPO (obiektów zasad grupy) ..................................... 45 Projektując, trzeba pamiętać o skalowalności ........................................................... 46 Role FSMO (Flexible Single Master Operation Roles)............................................. 48 Migracja z innych usług uwierzytelniania................................................................. 52 Aktualna dokumentacja i bezpieczeństwo ......................................................................... 53 Dokumentacja............................................................................................................ 54 Kopie zapasowe ......................................................................................................... 56 Podsumowanie ................................................................................................................... 56 Rozdział 3. Przygotowywanie „Planu odtwarzania po awarii” dla firmy.......................... 57 Analiza ryzyka, zagrożeń i sposobów ograniczenia szkód ................................................ 58 Dwuczęściowy poradnik: opracowywanie „Planu odtwarzania po awarii” w dziesięciu krokach .......................................................................................................... 62 Część 1. Kroki ogólne ............................................................................................... 63 Obliczenia i analiza ........................................................................................... 63 Tworzenie „Planu utrzymania ciągłości działania firmy” (planu BCP) .......... 63 Prezentacja części 1. i 2. dla zarządu firmy ...................................................... 65 Określenie obowiązków i zakresów odpowiedzialności................................... 65 Szkolenie personelu na wypadek odtwarzania po awarii (DR)......................... 66 Plan DRP należy często testować ..................................................................... 68 Część 2. Implementacja „Planu odtwarzania AD po awarii” (planu DRP).............. 69 Nie wystarczy napisać....................................................................................... 69 Każdy musi wiedzieć, gdzie znajduje się plan DRP ......................................... 69 Określenie kolejności odtwarzania różnych części systemu (najpierw kontroler w lokacji centralnej (hub), następnie dodać jeden serwer itd............ 70 Powrót do prezentacji dla zarządu .................................................................... 70 Podsumowanie ................................................................................................................... 71 Rozdział 4. Wzmacnianie odporności usługi Active Directory na uszkodzenia................. 73 Podstawowe koncepcje bezpieczeństwa ............................................................................ 73 Strategia zabezpieczania domeny .............................................................................. 73 Strategia zabezpieczania kontrolerów domen ........................................................... 74 Zabezpieczenia konfiguracji DNS ..................................................................................... 75 Bezpieczne aktualizacje............................................................................................. 75 Opcja Split Zone DNS............................................................................................... 76 Strefy AD Integrated Zones (strefy zintegrowane z Active Directory).................... 77 Konfigurowanie DNS do działania na serwerze rezerwowym po awarii serwera głównego (tryb failover).............................................................................. 78 Protokół dynamicznego konfigurowania komputera macierzystego (protokół DHCP) w Active Directory ....................................................................................... 79 Ścisła kontrola uprawnień i delegacje................................................................................ 80 Właściwa delegacja użytkownika.............................................................................. 82 Delegowanie pełnej kontroli grupie użytkowników ......................................... 83 Delegowanie ograniczonej kontroli .................................................................. 85 Grupa upoważniona do resetowania haseł ........................................................ 87 Centralny dziennik zdarzeń................................................................................................ 88 Właściwe zarządzanie zmianami ....................................................................................... 89 Spis treści 5 Wirtualizacja i lokacje opóźnienia ..................................................................................... 91 Przypisanie zasobów.................................................................................................. 91 Kopie zapasowe i zrzuty............................................................................................ 92 Zautomatyzowane instalowanie serwerów ................................................................ 92 Przystawka Sites and Services (lokacje i usługi)....................................................... 93 Tworzenie lokacji, podsieci i łączy lokacji ....................................................... 94 Ustawianie harmonogramów replikacji i kosztów ............................................ 98 Koszt ................................................................................................................. 99 Ustalanie harmonogramu ................................................................................ 100 Harmonogram replikacji dla lokacji................................................................ 102 Harmonogram dla łącza .................................................................................. 104 Lokacje opóźnienia i ciepłe lokacje......................................................................... 105 Konfigurowanie lokacji opóźnienia ................................................................ 106 Tworzenie, konfigurowanie i wykorzystywanie ciepłej lokacji ..................... 108 Podsumowanie ................................................................................................................. 110 Rozdział 5. Uszkodzenie Active Directory na kontrolerze domeny ................................... 111 Problemy i symptomy ...................................................................................................... 111 Symptomy................................................................................................................ 111 Przyczyny......................................................................................................................... 112 Rozwiązanie (odtwarzanie) .............................................................................................. 112 Szczegóły rozwiązania ..................................................................................................... 112 Sprawdzanie uszkodzenia........................................................................................ 112 Narzędzia diagnostyczne................................................................................. 113 Program Sonar ......................................................................................................... 116 Możliwość usuwania uszkodzeń i zatrzymywania rozprzestrzeniania się przekłamań............................................................................................................... 117 Opcja pierwsza: przywrócenie Active Directory z kopii zapasowej............... 119 Opcja druga: replikacja ................................................................................... 125 Opcja trzecia: odbudowa kontrolera domeny z nośników (Install from Media) ............................................................................................................. 127 Podsumowanie ................................................................................................................. 129 Rozdział 6. Odtworzenie jednego uszkodzonego kontrolera DC ....................................... 131 Problemy i symptomy ...................................................................................................... 131 Przyczyny......................................................................................................................... 131 Proces rozwiązywania problemu...................................................................................... 131 Szczegóły rozwiązania ..................................................................................................... 132 Wyczyszczenie Active Directory przed rozpoczęciem odtwarzania....................... 132 Usunięcie z Active Directory rekordów starego kontrolera domeny.............. 133 DNS i akcje graficzne potrzebne do zakończenia procesu ............................. 142 Odtwarzanie uszkodzonego kontrolera DC .................................................... 145 Podsumowanie ................................................................................................................. 145 Rozdział 7. Odtwarzanie utraconych lub usuniętych użytkowników i obiektów ........... 147 Problemy i symptomy ...................................................................................................... 147 Przyczyny......................................................................................................................... 147 6 Active Directory – odtwarzanie po awarii Proces rozwiązywania problemu...................................................................................... 148 Obiekty fantomowe (Phantom Objects) .................................................................. 148 Relikty (obiekty typu Tombstone)........................................................................... 148 Wydłużanie czasu życia reliktów (TSL) ......................................................... 150 Obiekty uporczywe (Lingering Objects) ................................................................. 151 Wymagania.............................................................................................................. 152 Metoda 1. Odtwarzanie usuniętych lub utraconych obiektów za pomocą udoskonalonego programu NTDSutil...................................................................... 153 Metoda 2. Odtwarzanie usuniętych lub utraconych obiektów za pomocą podwójnego przywrócenia....................................................................................... 159 Metoda 3. Ręczne odtwarzanie usuniętych bądź utraconych obiektów .................. 159 Odtwarzanie obiektów GPO .................................................................................... 163 Kopiowanie za pomocą wtyczki GPMC z konsoli MMC............................... 164 Przywracanie za pomocą wtyczki GPMC....................................................... 165 Jeśli nie mamy wtyczki GPMC....................................................................... 167 Podsumowanie ................................................................................................................. 168 Rozdział 8. Pełna awaria Active Directory........................................................................... 169 Scenariusz ........................................................................................................................ 169 Przyczyny......................................................................................................................... 169 Proces odtwarzania........................................................................................................... 169 Część 1. Przywracanie pierwszego kontrolera w domenie podstawowej............... 170 Część 2. Odtwarzanie pierwszego kontrolera we wszystkich pozostałych domenach................................................................................................................. 181 Część 3. Określanie kontrolera domeny podstawowej jako katalogu globalnego ............................................................................................................... 183 Część 4. Odtwarzanie dodatkowych kontrolerów w lesie przez zainstalowanie Active Directory.............................................................................. 185 Kroki po odtworzeniu .............................................................................................. 185 Podsumowanie ................................................................................................................. 186 Rozdział 9. Awaria lokacji w infrastrukturze Active Directory (sprzęt)........................... 189 Scenariusz ........................................................................................................................ 189 Przyczyny......................................................................................................................... 189 Proces odtwarzania........................................................................................................... 190 Do rozważenia: różny sprzęt i „goły metal”............................................................ 190 Do rozważenia: oprogramowanie ............................................................................ 191 Proces przywracania ................................................................................................ 192 Środowiska wirtualne .............................................................................................. 199 Podsumowanie ................................................................................................................. 201 Rozdział 10. Narzędzia używane przy odtwarzaniu........................................................... 203 Oprogramowanie kontrolerów DC i administracja ......................................................... 203 Narzędzia pomocnicze (Support Tools) systemów Windows ................................. 204 Narzędzia zestawu Resource Kit ............................................................................. 205 Pakiet Adminpack dla klientów Windows XP/Vista............................................... 205 Narzędzia diagnostyczne i rozwiązywanie problemów ................................................... 207 Spis treści 7 Narzędzie DcDiag.................................................................................................... 207 Narzędzie NetDiag .................................................................................................. 210 Monitorowanie za pomocą programów Sonar i Ultrasound ........................................... 214 Program Sonar – informacje wstępne...................................................................... 214 Program Ultrasound – informacje wstępne ............................................................. 216 Zakładka Details.............................................................................................. 219 Historia alarmów (Alert History) .................................................................... 219 Zakładki Summary i Advanced....................................................................... 221 Podsumowanie ................................................................................................................. 224 Dodatek A. Przykładowy „Plan utrzymania ciągłości działania firmy” ........................... 225 „Plan utrzymania ciągłości działania w Nailcorp” .................................................. 225 CEL ................................................................................................................. 225 Opis usługi............................................................................................................... 226 ZAKRES.................................................................................................................. 226 Osoby odpowiedzialne i ich role ............................................................................. 226 CELE ....................................................................................................................... 227 Co chcemy osiągnąć za pomocą tego dokumentu........................................... 227 Ogłoszenie „Planu utrzymania ciągłości działania firmy” ...................................... 227 DRZEWO POWIADAMIANIA ............................................................................. 227 Kryteria ogłoszenia awarii usługi Active Directory ................................................ 228 Przywrócenie funkcjonalności................................................................................. 229 Lokacja (lub lokacje) odtwarzania........................................................................... 229 Materiały potrzebne w lokacji alternatywnej .......................................................... 230 ETAPY ODTWARZANIA USZKODZONEGO KONTROLERA DC................. 230 DODATKI ............................................................................................................... 231 Osoby odpowiedzialne za działanie usługi AD .............................................. 231 Dokumentacja dotycząca aplikacji lub usługi dołączona do tego planu......... 231 Kontakty zewnętrzne i kontrahenci................................................................. 232 Formularze oceny szkód .......................................................................................... 232 SŁOWNICZEK ....................................................................................................... 233 Bibliografia.............................................................................................................................. 237 Indeks....................................................................................................................................... 245